Risques de l’infogérance

Microsoft 365
#1

L’infogérance informatique est rentée dans les mœurs. Même si elle offre de nombreux avantages il existe de nombreux risques qu’il convient d’évaluer en connaissance de cause avant de prendre la décision d’externaliser son système d’information vers un prestataire.

Risques de l’infogérance informatique

Les risques liés à l’outsourcing de l’informatiques d’une entreprise sont importants. Nous vous en présentons les principaux. Connaître les risques permet de s’en prémunir.

Risques de la sous-traitance informatique

La sous-traitance informatique est pratique courante. Celle-ci peut être clairement exposée dans une réponse à un appel d’offre lorsque la réponse est portée par un consortium d’entreprise. Elle peut être masquée lorsque la société de service informatique intègre dans son équipe une personne étrangère à sa société en le présentant en tant que salarié. Le prestataire qui possède le contrat est responsable des personnes qui interviennent dans le cadre du contrat de l’infogérance. Cependant l’entreprise doit s’assurer que les compétences qui ont été sous-traité seront en mesure de réaliser les tâches confiées. Elle devra également vérifier si les obligations légales sont respectées. De plus le donneur d’ordre devrait s’assurer que les contraintes de sécurités sont conformes au niveau attendu.

Risques de l’hébergement géographique des données

La localisation des données informatique peut représenter un risque pour l’entreprise. En externalisant son système d’information les données peuvent se retrouver éclater sur différents sites géographiques et même chez différents partenaires. Chaque site géographique qui hébergera les données du client doit être conforme au niveau attendu dans le cahier des charges. Les risques à prendre en considération sont :

  • L’accès physique aux équipements ;
  • Les accès à distances aux équipements ;
  • L’accès aux données des applications ;
  • Les contraintes légales du pays qui héberge les données.

Une entreprise qui ne maîtrisera pas l’hébergement géographique de ses données sera confrontée aux difficultés suivantes :

  • Exercer un contrôle sur le prestataire ;
  • Exercer un droit de regard concernant l’accès à ses équipements et données informatique ;
  • Effectuer son propre audit de sécurité ;
  • Répondre aux injonctions de la justice.

On peut également noter que le transfert des données à caractère personnel en dehors des frontières de l’Union européenne est réglementé. Il s’agit de la directive européenne 95/46/CE complété de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. Ainsi le donneur d’ordre peut se retrouver dans l’illégalité sans même le savoir.

Il existe également pour certains corps de métier des contraintes fortes. En effet, une entreprise pourra externaliser ses données uniquement auprès de prestataire qui auront été validé par les autorités compétences. L’exemple le plus connu est celui qui s’applique au monde de la santé.

Risques liés au prestataire informatique

Les risques liés à l’infogérance sont liés au risque du choix du prestataire sélectionné pour l’outsourcing. Nous pouvons noter qu’il en existe deux catégories.

La première catégorie de risques liée au prestataire concerne la politique d’entreprise de la société de service en informatique. Confier l’infogérance de son système d’information signifie déporter les connaissances vers celui-ci. Aussi il faut que l’infogéreur fournisse les moyens matériels et humain de suivre les évolutions technologiques afin que les équipes en place puisse accompagner le client dans l’évolution de son système d’information. Le prestataire doit être compétent dans le temps et mais simplement à instant « t ». Cela comprend une certaine flexibilité permettant l’implantation de nouvelles technologies qui ne sont pas couvertes dans le périmètre initial. La formation des administrateurs ne doit pas souffrir de raisons économiques.

La seconde catégorie de risques liée au prestataire s’applique davantage aux offres SaaS. Il faut montrer une certaine vigilance sur le choix d’une application trop récente. Une application hébergée dans le Cloud devrait :

  • Reposer sur des standards d’interopérabilités permettant à cette brique de s’interconnecter aux autres applications de l’entreprise.
  • Assurer la pérennité des fonctionnalités mise à la disposition de ses utilisateurs.

Dans tous les cas de figure la réversibilité des données doit être possible simplement. L’éventualité que les données ne puissent pas être migrées vers un autre système représente un risque majeur dans l’externalisation des applications.

Risques de sécurité liés à l’accès à distance

L’infogérance d’un système d’information nécessite régulièrement des accès à distance à tout ou partie du SI. Cet accès représente une surface d’attaque importante. La possibilité d’accéder à distance représente un risque majeur. Nous pouvons les catégoriser en deux types de risques :

  • L’intrusion dans le système d’information de pirate informatique qui pourra prendre le contrôle des ordinateurs et des données.
  • L’abus de droit dans les équipes du prestataire qui pourrait accéder à des informations confidentielles.

Risques liés mutualisation des données et applications

La mutualisation des données ou des applications avec d’autres clients représente un risque important. Les principaux risques liés à la mutualisation des ressources sont :

Comment maîtriser les risques de l’infogérance informatique

Pour pallier aux risques de l’infogérance informatique décrit précédemment nous vous présentons certaines recommandations et bonnes pratiques ayant pour objectif de les maîtriser.

Maîtriser les risques de la sous-traitance

Afin de maîtriser les risques inhérents à la sous-traitance informatique, le client devra dans son appel d’offre prévoir ce scénario. Elle peut soit en interdire la pratique, soit se donner le droit de récuser une personne. De plus elle devrait être en mesure de s’assurer que les obligations légales sont toutes respectées par le sous-traitant, en plus de la vérification de celle de l’entreprise. Le donneur d’ordre peut autoriser ce type de prestation pour un cadre technique définit, lorsque les compétences sont rares sur le marché. Une clause concernant la durée peut également y être incluse pour donner le temps au prestataire de former ses équipes.

Maîtriser les risques de l’hébergement des données

Les données hébergées en dehors de l’entreprise doivent se situer dans des datacenters respectant les normes de sécurités. L’entreprise doit s’assurer que la législation est en accord avec ses contraintes légales. En Europe, le cadre juridique de protection des données à caractère personnel repose sur le principe de territorialité. En effet il doit être possible de constater à tout moment la localisation des données personnelles pour des contraintes légales.

Maîtriser les risques liés au prestataire informatique

Maîtriser les risques liés au prestataire informatique est avant repose sur la maîtrise de son système d’information :

  • perte de la gouvernance : en utilisant les services d’une infrastructure d’informatique en nuage, l’entreprise va laisser au prestataire un contrôle total, y compris sur la gestion des incidents de sécurité ;
  • dépendance technologique : les offres ne garantissent pas toujours la portabilité des données, des applications ou des services. Il est donc difficile d’envisager un changement de prestataire ou de réinternaliser le système lorsque la technologie utilisée ne prévoit pas une portabilité suffisamment importante.

Maîtriser les risques de l’accès à distance

La maîtrise de l’accès à distance permet de limiter les risques liés à l’accès au système d’information par des personnes tiers. Pour que les dispositifs de télémaintenance présentent les garanties suffisantes au regard des risques qu’ils font peser sur le système d'information, l’implémentation d’une passerelle sécurisée dédiée à la télémaintenance est incontournable. Elle devra répondre aux objectifs de sécurité suivants :

  • authentifier la machine distante et la personne se connectant ;
  • prévenir l’exploitation de vulnérabilités ou de portes dérobées sur le dans le système d’information ;
  • assurer une traçabilité de confiance des actions effectuées ;
  • garantir la confidentialité et l’intégrité des données qui transiteront ;
  • garantir l’innocuité de la fonction de télémaintenance vis-à-vis du système
  • garantir l’absence de fuite d’informations vers l’extérieur.

Bien entendu la mise en œuvre d’une telle passerelle exige un audit de sécurité régulier pour s’assurer qu’elle répond toujours au contrainte de sécurité.

Maîtriser les risques liés à la mutualisation des données

Pour éviter les risques liés à la mutualisation des données le donneur d’ordre doit privilégier un hébergement dédié. En utilisant des machines spécifiques il pourra segmenter ses propres données informatiques. Même dans des applications Cloud en mode Software as a Service, certains fournisseurs propose pour abonnement plus élevé, la mise en place d’une plateforme dédiée. Lorsqu’une solution mutualisée est implémentée l’entreprise devra procéder à une évaluation minutieuse des risques encourus pour analyser avec précision les conséquences de ce type de choix. En effet dans le cadre de la virtualisation, en plus de la segmentation logique étanche, une segmentation physique devrait être mise en œuvre.

Risques liés à la mutualisation des ressources :

  • Isolation défaillante des applications : les mécanismes de séparation des ressources comme le stockage, la mémoire ou le processeur, peuvent être défaillants et l’intégrité ou la confidentialité des données compromises ;
  • Effacement non sécurisé des données : il n’y a aucune garantie que les données soient réellement effacées ou qu’il n’existe pas d’autres copies stockées dans le nuage.

La maîtrise des risques de l’infogérance

La maîtrise des risques de l’infogérance passe par la rédaction et la signature d’un document contractuel nommé le plan d’assurance qualité ou PAQ. Celui doit être complété par un autre document important, le plan d’assurance de sécurité. C’est ce document qui imposera au prestataire des contrainte de sécurité mais le contrôle devra rester celui de l’entreprise pour éviter que l’infogéreur ne soit juge et partie.

Il convient de prévoir dans la signature d’un contrat d’infogérance d’un certain nombre de clause ou document permettant au donneur d’ordre de maîtriser les risques liés à cette externalisation de la gestion de tout ou partie de son système d’information :

  • Une clause de confidentialité type : celle-ci sera également utilisé dans le cadre de la sous traitance ;
  • Le niveau d’exigences de sécurité : ce document traitera de tous les aspects de la sécurité, qu’elle soit physique ou logique.

De façon générale la maîtrise des risques liés à l’infogérance informatique repose en amont de la prestation. Celle-ci doit être présente dès la rédaction de l’appel d’offre. En faisant l’impasse de cet aspect sécuritaire le donneur d’ordre augmente les risques.